前段時間開發了一個用戶登錄的模塊,需求很簡單,用戶輸入手機號和驗證碼,我們就會返回給用戶一套身份信息并保存在cookie里面。so easy,于是就有以下代碼:
// 大致意思如下,并非真實模塊中的代碼
document.cookie = 'token=xxxxxxxx;domain=xxx.com;path=/;expires=xxxx';
大功告成!但是,問題也來了,這樣做并不安全,用戶的信息可以輕易的通過JS獲取,XSS,CSRF變的輕而易舉。于是,我們將種cookie的操作交給了服務端,并給其中一個cookie加上了httponly屬性,這個屬性僅僅保證我們的cookie不能通過document.cookie來獲取,減小了用戶cookie被竊取的概率。
Set-Cookie:token1=xxxxx; expires=GMT Date; Max-Age=xxx; path=/; domain=xxx.com
Set-Cookie:token2=xxxxx; expires=GMT Date; Max-Age=xxx; path=/; domain=xxx.com; httponly
好啦,再次大功告成。但是,過了一段時間,我們的網站多啦,同時存在了幾個域名,我們需要在用戶登錄的時,同時給多個域種cookie。OK,很簡單,我們只需要調用多個域名下的種cookie的接口,不就行啦?
事情沒有這么簡單,經過測試之后發現我們的cookie在某些特定的瀏覽器下有可能跨域種cookie失敗。為什么呢?經過一番google之后,發現其實是一些瀏覽器對于跨域種cookie做了一些限制,我們需要用一些方法來解決限制。
P3P由萬維網協會研制,它為Web用戶提供了對自己公開信息的更多的控制。支持P3P的Web站點可以為瀏覽者聲明他們的隱私策略。
其實上面都是廢話,大概意思就是說你要在你的http header里面加入一個P3P協議的說明,詳細信息可以看這個歪果仁寫的文章"P3P, Cookies and IE6.0: A Case Study"
P3P:CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
很開心,再次大功告成。BUT,現實總是這么殘酷,safari上仍然不能跨域種cookie。這又是為什么呢?根據蘋果爸爸的尿性來推測,肯定又是他做了什么安全性的限制。果然!在safari瀏覽器中打開設置 > 隱私 > 阻止cookie > 永不,打開上述設置之后,跨域種cookie瞬間成功。但是,我們總不能要求用戶一個個去打開這個設置吧?所以還要另尋解決辦法。
后來我們發現其實對于safari來說所謂的第三方需要滿足兩個條件:
- 用戶從來沒有主動訪問該域名
- 該域名并沒有作為第一方種過cookie
基于以上兩點我們做了2個操作:
- 通過
http 302的方式來跨域種cookie - 在用戶訪問我們的域名之后,默認在訪問域名下種下一個記錄性的cookie,減小我們的域名種Cookie失敗的概率
好啦,這次真的大功告成啦,寫一篇流水賬記錄一下這個坑。
博客地址: ssh.today,歡迎關注
